技术内核

技术内核（精选12篇）

技术内核 篇1

摘要：以Linux作为数据捕获的平台,以捕获系统的所有活动特别是入侵者的加密会话为目标,提出了一种利用Rootkit技术,通过替换系统调用sysread,syswrite,sysopen,syssocketcall等来从内核捕获数据的技术。

关键词：Linux,Rootkit,内核,加密,数据捕获

0 引言

数据捕获是监控和记录攻击者在系统内部的所有活动,从中分析出攻击者使用的工具、策略以及动机。为了有效地捕获数据,不应单单依赖于某一个手段,而应该利用各种可能的方法,在各个层次上捕获数据,且不被攻击者所察觉。一般认为,数据捕获主要有3个重要来源:防火墙日志、网络通信和系统活动。

从安全者的角度,以Linux为平台,提出一种基于内核捕获数据的方法。它利用可加载内核模块的技术,通过截获系统调用、内核关键函数或数据结构来记录攻击者加密会话的通讯信息。

1 Rootkit技术分析

1.1 Rootkit综述

Root在英语中是根,扎根的意思,kit是包的意思。Rootkit可以把它理解成一个利用很多技术来潜伏在系统中获得管理员权限的一个后门,并且包含了一个功能比较多的程序包。它采用多种技术来隐藏自己,确保不易被发现。

近年,Rootkit发展了新的将代码注入内核的方式,有的Rootkit在已有的模块或系统内核映象中安装自己。Rootkit技术发展非常迅速,应用越来越广泛,大量存在于windows、unix、linux等操作系统中。

1.2 LKM方式的Rootkit技术

在Linux系统中,Rootkit是攻击者用来隐藏踪迹和保留Root访问权限的工具集。在这些工具当中,基于LKM(可加载内核模块)的Rootkit尤其受到关注。它是当前最主要、最成熟的内核级别的Rootkit技术。其本质是截获系统调用、内核关键函数或数据结构,在系统正常处理之前或之后进行判断。如果符合特定条件,就进行相应处理,否则返回正常的系统调用。

Linux操作系统内核是单一体系结构(monolithic kernel)的,也就是说,整个内核是一个单独的非常大的程序,采用模块技术本来是Linux系统用于扩展它的系统功能的。使用LKM的优点是使得内核更加紧凑和灵活,模块可以被动态的加载,修改内核时不需要重新编译内核。它常常用来开发特殊的设备(或者文件系统)。

2 内核数据捕获技术

2.1 工作机理

基于内核的数据捕获技术是利用内核Rootkit技术的原理,通过替换系统调用sys_read,sys_write,sys_open,sys_socketcall等来捕获数据,然后把捕获到的数据记录到一个隐藏文件,或直接通过网络驱动模拟成其它如NetBIOS等UDP数据包或ICMP数据包把它传输出去。

2.2 结构组成

为了捕获到的数据不易被发现,必须使数据隐蔽的存于本地或发送到其它机器。相比之下,将数据发送到其它远程机器的隐蔽性更高。本机(客户端)用于在内核空间捕获数据并秘密将数据发送到远程机器(服务端),服务端用于接收数据并分析数据,如图1所示。为便于数据分析,所有发送的数据都采用一个统一的标准格式。

2.3 数据捕获技术

数据捕获由内核模块来完成。使用模块加载技术可获得内核空间的访问,通过替换系统调用表中的read,write,socket等函数,能捕获所有Read()、Write()、Socket相关函数等数据。替换后的新函数调用老函数,并把内容拷贝到一个数据包缓存,然后加上一个自定义的协议头,再把这个数据包发送到服务端。替换原来的函数就是改变系统调用表的函数指针。

当用户空间的进程调用标准的read()、write()、socket相关函数的时候会产生系统调用。这个调用映射到系统调用表数组的索引偏移。因为把read、write、socket索引的函数指针修改成指向它自己的函数,所以当执行到内核的read、write、socket实现时就会执行修改后的调用,通过截获这些系统调用,能捕获到所有访问的数据,如图2所示。

数据在使用的时候一般都是解密的。这个动作一般会产生一个系统调用,在内核空间收集数据,就能截获这个系统调用访问进程解密后但还没有处理的数据,通过这种方法就可以在加密环境捕获击键、文件传输、Burneye的口令等。

2.4 数据包产生发送技术

客户端捕获的数据需要在入侵者没有察觉的情况下发送到服务端。一般情况下,使用UDP协议或ICMP协议来发送数据。通过修改内核,自动生成数据包,直接使用网络设备驱动发送数据,如图3所示。

每个read、write、socket调用都会产生一个或多个日志数据包。每个数据包都包含了关于这个调用内容的信息和这个调用访问的数据,还包含了一个特定的协议头,用于记录产生调用的进程描述、调用产生的时间和记录数据的大小。这些数据包由内核数据捕获模块自动产生,而不是使用TCP/IP协议栈,当数据包创建好的时候就直接通过设备驱动发送,所以系统用户无法使用IPTABLES来阻断数据包,也无法用网络嗅探器来监视这些数据包。因为嗅探器是基于libpcap的,而libpcap是使用原始套接字接口来收集数据包,这样就绕过了原始套接字代码和包过滤代码。另外,数据包发送时直接使用目标MAC地址,而不是通过ARP协议来获取目标IP地址对应的MAC地址,所以对ARP欺骗有自然免疫能力。

2.5 通信协议

为便于数据分析,可定义一个特定的通信协议,该协议规定每个数据包由一个固定长度的头结构和不定长度的数据组成。头结构在UDP头或ICMP头之后,用于记录与该数据有关的进程描述符、文件描述符、产生的时间等。

如果数据的长度大于局域网的MTU,内核数据捕获模块会把读到的数据分成多个分片以适应局域网的传输,且每个分片都包含了完整的头结构。

2.6 数据分析

服务端接收数据后,需经过一系列的数据分析方可明白所捕获数据的含义。数据分析就是对捕获到的数据进行整理和融合,以辅助安全专家从中分析出这些数据背后蕴涵的攻击工具、方法、技术和动机。目前,Linux系统下可利用perl、shell等强大的脚本解释语言,将数据分析工具写成的脚本文件的形式,利用头结构中的相关信息,分析出所捕获数据的含义,如入侵者的击键命令。

2.7 模块隐藏技术

为使数据捕获更加隐蔽,需要对数据捕获模块进行隐藏。在Linux系统中,所有的LKMs都是由一个单向链表进行连接,因此可以利用struct module数据结构的特点,将模块从链表module_list上摘除,从而增强整体的隐蔽性。下面是模块隐藏的常用方法。

(1)两次加载法。每个模块在内核中都有一个module结构与之相对应,各个模块之间用next构成单向链表。每次模块加载都放在链表的首部。因此,可以采用两次模块加载的方法来完成隐藏工作。第一次加载要被隐藏的模块,由第二次要加载的模块负责对上一模块进行隐藏。主要利用insmod会在module中加入__this_module符号的特点,得到本模块的地址,然后将上一个模块从module_list链表中删除。

(2)找module_list法。上面的方法需要加载两次module,虽然可以完成功能,但是毕竟多一个步骤。通过分析Linux内核源码可知,一个新加载的module位于链表的头,如果得到module_list的地址就可以删除这个module。

(3)删除前模块法。不将自己从module_list删除,而是将前一个正常module删除,然后将自己的名字改成前一摸快的名字。

(4)截获sys_query_module法。查看module信息的命令行是lsmod,此命令的实现是调用一个关于module的系统调用sys_query_module,从module_list中顺序取得相应module的信息。如果想隐藏一个module,可以截获sys_query_module系统调用。

3 局限性及改进

3.1 局限性

内核数据捕获的隐蔽性关键在于能否躲避Rootkit检测工具的检测。如果入侵者检测到系统调用的改变,就会采取对应措施,恢复原系统调用。这样,将无法捕获到入侵者的敏感数据。

/dev/kmem[8]是一个字符设备,是计算机主存的映像。通过它可以直接对内存进行读写。因此,它功能强大且使Linux内核变得非常灵活,入侵者用它来检测内核数据捕获模块并修改内核,使系统无法捕获数据。

数据发送到服务端时,可在同网段的其它主机上看到这些数据包,因此有被入侵者捕获到的可能,这些UDP包ICMP包还有可能被防火墙过滤掉。

3.2 改进措施

当今对内核级Rootkit的检测技术主要有:(1)校验和检验。Rootkit安装前后的系统不可能完全一样;(2)检查加载的LKM模块是否正常;(3)检查系统调用表。linux kernel中的一个重要的全局变量sys_call_table。此表中存储了255(没有全用)系统调用的入口地址,从module的功能上说其一般都会对一些重要的系统调用进行替代;(4)检查系统idr表。中断向量表中的入口地址是否改变;(5)除了对内核数据段数据的检测,对系统代码段也可以进行检查,利用静态的内核映像文件和内存空间的代码段进行判断。

因此,要隐蔽地捕获内核数据,内核数据捕获模块需躲避上述检测方法。然而,Rootkit检测也有一定的局限性,要检查内核方方面面是不现实的。全局变量sys_call_table是首先检查目标。通过修改旧的系统调用代码,加一个跳转指针指向新的地址,而不改变sys_call_table表或在虚拟文件系统层实现数据截获,就可以逃避常用Rootkit的检测。

/dev/kmem技术既可被入侵者用来检测内核数据捕获模块,也可用来捕获数据。它是内核不支持LKM时的内核数据捕获的有效方式。但是,它针对的是正在运行的Linux系统。如果系统重启,则需要重新再加载自己的模块,同时其中的module本身也是单独存放的,还需要对其进行另外的隐藏。针对上述的问题,又出现了一种新的技术--静态内核补丁。通过将一个通用意义上的module添加到静态内核映像中避免了module文件被发现的可能性,同时也不用考虑系统重启的问题。因为每次系统启动都要加载内核映像,所以该技术成为现今最好的技术。

针对数据包有被过滤的可能,可向UDP的常用端口发送数据。系统一般认为是一个路由探测包,防火墙不会过滤。至于ICMP报文,一般防火墙会进行过滤,但ICMP_ECHOREPLY报文却往往不会在过滤规则中出现。

4 结束语

基于Rootkit的内核数据捕获技术能监视系统的所有动作,特别是捕获入侵者加密会话的一个有效途径,是今后研究数据捕获的重要方向。虽然本文主要是针对Linux系统论述的,Windows系统的内核结构与Linux有着本质的不同,但是该技术的基本思想对Windows系统也是适用的。通过分析Windows内核,该技术能较好地移植到Windows系统。

参考文献

[1]李善平.边干边学—linux内核指导[M].杭州:浙江大学出版社,2002.

[2]毛德操,胡希明.Linux内核源代码情景分析[M].杭州:浙江大学出版社,2001.

技术内核 篇2

本文以原来的内核版本为Linux ubuntu 3.8.0-29-generic

升级内核为3.8.8

1. 首先下载需要升级的文件，下载地址 kernel.ubuntu.com/~kernel-ppa/mainline/v3.8.8-raring/

2. 需要下载的文件

linux-headers-3.8.8-030808_3.8.8-030808.04170248_all.deb

linux-headers-3.8.8-030808-generic_3.8.8-030808.201304170248_i386.deb

linux-image-3.8.8-030808-generic_3.8.8-030808.201304170248_i386.deb

3. 把下载的文件存放在/tmp 目录下，然后执行如下命令

sudo dpkg -i linux-headers-3.8.8-030808_3.8.8-030808.201304170248_all.deb linux-headers-3.8.8-030808-generic_3.8.8-030808.201304170248_i386.deb linux-image-3.8.8-030808-generic_3.8.8-030808.201304170248_i386.deb

4. 重启机器

sudo reboot

祝贺你，内核升级成功

双内核来了 篇3

对于计算机的使用者而言，他们正在经历一个变革时期。他们除了要把自己的计算机升级到64位，也开始为向多颗“心脏”升级作准备。一直以来，使用者都在追逐更高的性能，希望计算机能做更多的事情，而英特尔、AMD这些芯片巨头之间的激烈争夺，让这样的局面提前到来了。

几乎是在同一时间，这两家公司都分别向外界正式发布了各自的双内核芯片产品，不过他们采用了不同的市场策略。英特尔首先推出的是一款针对个人用户的频率达到3.2GHz的至尊版奔腾处理器840，而AMD则更看好双核芯片在服务器领域的前景，首先推出了拥有双内核的Opteron处理器。

这不是业界第一次推出双内核的芯片。在此之前，擅长高端服务器开发的IBM、惠普都已各自推出了双内核处理器Power 4和PA8800，并成功地应用于高端服务器中。2004年，Sun也推出了双内核芯片UltraSparc IV。尽管双核芯片在高端服务器上已存在多年，然而这些产品并不能被称为是大众化的产品—它们相当昂贵。英特尔、AMD的此番举动，对于主导个人电脑和中低端服务器的x86芯片来说，无疑是件大事。

自“摩尔定律”在40年前诞生以来，整个处理器市场的发展的确在以“摩尔定律”的速度前进。尤其是作为全球处理器市场领头人的英特尔，它依据着“摩尔定律”不断创新，并因此获得了高速成长。但近一年来，在它公布的产品路线图中，其芯片产品推陈出新的速度已明显落后于“摩尔定律”。就在2004年7月，该公司宣布，由于能耗过大，发热量过高，其4GHz奔腾4处理器无法在2004年底如期上市。

如果把提高主频作为实现处理器性能提升的主要途径，这必然要求大幅增加晶体管的数量。业界一致认为，当芯片步入16纳米制造工艺时代，或许在此基础之上可能还会取得一、两次工艺进步，但晶体管体积的缩小程度终将达到极限。况且，晶体管的数量越多芯片的发热量会越大，最终可能使计算机不稳定直至崩溃。

贝瑞特在2004年11月就已宣布，英特尔决定将其下一代CPU转向多核心架构。“你当然可以继续让晶体管跑得更快些，但那需要消耗更多的能量。或者你可以放置更多的缓存，更大的容量，另一个内核或另一个线程来提升性能。”不过他也强调，挑战的存在并不是意味着行业的发展已经摆脱了“摩尔定律”（计算机处理能力每18个月增强一倍）的技术局限。“摩尔定律至少在未来10年，或者15年间仍将适用。”借助这次新选择，英特尔期望能够续写“摩尔定律”的新篇章。

由于具备了两颗处理器，双内核芯片在同一时间里可以运行多个任务，这不仅提高了软件的运行速率，还有效地降低了处理器的功耗。“多内核处理器的计算能力要比单内核芯片强大得多，而功耗和散热等问题也大大得到缓解。”英特尔数字企业事业部副总裁兼商用客户机部总经理罗伯特·克鲁柯说。

当然，如果没有芯片制造工艺今天的进步，双内核芯片时代还要更晚些才能到来。AMD公司负责微处理器产品开发的执行副总裁Dirk Meyer说：“双内核芯片如果不采用90nm半导体制造工艺，从性价角度讲就没有什么意义。”而这也给掉转船头的英特尔赢得了时间，不甘示弱的英特尔表示，“到2006年底，针对其台式机和移动客户机的多内核处理器发运率将达70%以上，而针对其服务器产品的多内核处理器发运率将达85%以上。”

这些处理器系统将包括代号为“Montecito”的双内核安腾处理器；代号为“Dempsey”、用于双路服务器的64位至强处理器；代号为“Paxville”的多路服务器；代号为“Yonah”的移动优化型处理器等等。

技术内核 篇4

传统网站建设与维护的方法是:首先设计网站的框架结构,然后设计网页页面,最后把设计好的页面纳入网站的框架结构中。这种网站建设模式只适应内容相对固定,或变化较少的网站。但是现在绝大多数网站,是需要随时动态更新与及时发布内容的,很显然这种网站建设的模式是不适合现实发展的需要。

而网站内容管理系统,能够解决传统网站建设的弊端。网站内容管理系统是将网站上的某些需要经常变动的信息,如网站栏目、网站的内容、网站的系统参数等,统一由数据库管理,管理员可以通过后台界面去修改栏目、网站内容、系统参数等。这种系统能够很好地实现网站内容动态更新与及时发布信息。

但是这种系统非常死板,不能适应用户的个性化风格,主要体现如下:

1)内容的模式是固定的,如文章模型及附件下载;但如果用户需要一个新的内容模式时,如图片、视频模式,则应重新设计网站程序,甚至是低层数据库;

2)网页的布局与风格基本固定,如一个页面从上往下依次是:Banner、菜单、内容、页脚等,如用户需要一个动感的,个性化的风格,网站又要重新设计代码,重新布局网页,无疑增加了网站开发的成本与拖延了网站开发的时间;

3)网站建设与维护的角色分工不明确,不适合市场产业链式的分工与开发团队的分工。如网站UI设计师往往要懂程序设计、数据库设计等。

这种网站内容管理系统的根本问题就在于网站内容的表现与网站内容的管理没有分开。而最近所用的网站建站模式是网站内核管理系统,它能很好地解决这个问题。

网站内核管理系统,是一个层次化、模块化的网站建站系统;它将网站的一些低层管理,如:内容管理、内容流程、节点权限等,进行内核化,在此基础上,网站UI设计师可以把网站网美工师的任何设想,生成网站的模板,并通过系统自定义的标签,去访问数据库或系统底层的其它参数,如服务器时间,同时提供了用户自定义的内容模式。

网站内核管理系统的核心思想是将内容的表现与内容的管理分开;内容的表现是由模板技术实现,而内容的管理由模型技术实现。

2 网站内核管理系统的模板思想与技术实现

网站内核管理系统的内容表现是由模板技术实现,那么什么是模板呢?模板是一个静态网页,而且是一个“伪”静态页,它和普通静态网页的区别是不能独立运行的,它必须由网站内核系统进行“翻译”,生成真正的静态网页后才能运行。原因在于模板网页中,有大量的网站系统自定义的标签,这些自定义的标签是不能由浏览器直接运行的,也正因为是这些自定义标签存在,才使得一个网页模板,会要根据不同的定义标签,生成不同的网页,从而起到“模板”的作用。

一般来说,一个网站有三种类型的模板,首页模板、栏目模板和内容模板。首页模板,顾名思义,就是生面首页的模板,一个网站一般只有一个;栏目模板,是生成网站各个节点的内容目录,一般一个网站也只有一个模板,但是它可以根据调用节点的参数不同,而生面不同的网页;内容模板,是生成文章或图片内容的内容网页,根据内容模型的不同,一般也只有3至4种内容模板,但是它可以根据调用内容结点的参数不同,可以生成无数个内容网页。

所以,一般网页UI设计者,只需要根据网页美工师的效果图(当然是经过用户认可的),编写几个网页模板就可以。这样可以大大地提高工作效率,同时又可以实现整个网站的风格统一,以及实现用户的一些个性化的风格,可以加快网站的运行,提高网站的搜索引擎的排名。

一个模板里面的技术元素有:HTML标签、DIV+CSS排版技术、Java Script客户端脚本和网站系统自定义的标签。而这种自定义的标签,不同的内核管理系统,是不同的。如逐浪CMS,是以ZL开头的一套标签,风迅CMS是以FS开头的一套标签。

网站系统自定义的标签是实现网页模板功能的关键技术。标签一般有系统标签、数据库SQL标签、用户自定义标签。系统标签,是调用网站系统的一些参数,{$copyright}是调用版权信息的;数据库SQL标签,是通过一个可视化界面生面一个SQL语句,调用数据表中的记录,如调用栏目表,就可以生成网站导航菜单;用户自定义标签,是用户可以将一些常用的HTML代码,做成一个标签,需要用时,只要调用该标签就可以。

模板的关键技术是标签的解析。这些一般由网站内核系统实现,它对应是由某种服务器脚本语言实现的,如PHP、C#、Java等。对于一般网站设计人员,不再涉及这些低层复杂的代码,这些工作是由网站程序员(一般是内核管理系统厂商)开发并加密的。这样网站程序开发者和网页UI设计师,就有着非常明确的分工,也体现了一种产品生产链式的社会分工。

3 网站内核管理系统的模型思想与技术实现

网站内核管理系统的内容管理与内容表现是分开的。网站的内容是存储在数据库或独立的文件中,一般文字存储在数据库中,而图片、视频等是以独立的文件存储在服务器上,在数据库中只存储文件的路径。但网站内容维护人员,是不允许,也没有这个能力通过操作数据库去管理网站的内容的。所以网站内核管理系统需要一个网站的后台,网站内容的管理是通过网站的后台实现,在后台对网站的内容进行增删改,对内容的工作流进行控制,如:审核、退稿等。通过网站后台的内容管理,对网站进行动态更新与及时发布信息。

传统的网站内容管理系统,没有将内容的表现与内容的管理分开,同时它的内容模型也相对固定。而网站内核管理系统,不但将内容的表现与内容的管理分开,同时允许用户自己定义内容模型。

那么什么是内容模型?以及如何实现用户自定义内容模型呢?

内容模型就是一种内容需要存储与表现出来的字段,如文章模型,需要存储与表现的字段有:ID号、节点号、建立时间、文章内容、当前状态等,而下载模型,可能还需要增加下载地址。网站的内容模型,不同的用户有不同的理解,而对于网站内核管理系统来说,最好的方式是不要固定,在建站过程中,根据用户的实际需要建立内容模型。

那么系统如何实现用户能够自定义内容模型呢?首先内核管理系统将各类内容公共属性(字段)提取出来,统一放在一个通用模型表(Common Model)中,而对于不同类型的内容,如“文章”、“下载”、“图片”、“商品”、“公告”、“友情链接”、“留言”等内容,不同模型的字段,单独存储在另一个表中,如C_Article数据表存储文章模型的独有字段,C_Photo数据表存储图片模型的独有字段;对于这些字段,用户是可以通过后台修改的,同时也意谓着用户可以自己建立一个新的用户模型,如Flash模型、影视模型、音乐模型、课件模型、教案模型,在具体应用时,只要将特有内容模型与通用模型连接起来就可以。这样用户不再为了各种应用而去苦苦寻找各种应用系统,只需要一套系统,不用写一行代码,通过添加相应的内容模型,就可以基本实现网站90%的功能应用需求。

4 网站内核管理系统的不足之处

网站内核管理系统尽管可以解决用户大部分功能需求,;但是往往极少数功能需求,就是用户必须要实现的,往往也是用户与网站开发者进行“较真”的那部分功能,就必须查看并修改网站内核代码,但很多时候,网站的内核代码是经过了“编译”的,做为一种商业秘密进行加密的,那就只有外挂开发。所以应用这种网站内核管理系统建设网站,很多时候,网站10%的功能需求,可能需要消耗网站开发者的精力与时间。

参考文献

[1]百度百科CMS[EB/OL].http://baike.baidu.com/view/15867.htm.

[2]耿璐,聂足.基于CMS的企业网站的设计与实现[J].计算机工程与设计,2009(2).

技术内核 篇5

黑格尔是历史上具有广泛影响的哲学家，是德国古典哲学的集大成者，黑格 尔哲学中的辩证法内容是十分丰富和宝贵的,它是马克思主义的思想来源之一.。但是,黑格尔的辩证法是建立在唯心主义基础上的，他认为辩证法不是从自然和 社会的历史中抽引出来的，而是概念自我发展，把自然,社会的辩证发展看成是 概念辩证法的表现，从而颠倒了思维与存在的关系，黑格尔的辩证法是不彻底的。黑格尔创立的关于“绝对理念”辩证发展的理论体系，它是黑格尔客观唯心主义哲学体系中的“合理内核”，是唯物辩证法的直接理论来源。黑格尔哲学的真实意义和革命性质，正是在于它彻底否定了关于人的思维和行动的一切结果具有最终性质的看法，不存在任何最终的东西、绝对的东西、神圣的东西；它指出所有一切事物的暂时性；在它面前，除了生成和灭亡的不断过程、无止境地由低级上升到高级的不断过程，什么都不存在。这就是永恒发展的思想。恩格斯从黑格尔辩证法中得出人类历史是永恒发展的，并不具有最终性质，虽然科学证明人类可能灭亡，但人类的终结并不是在可预见的历史时期。可以看出恩格斯对辩证法的理解：一切事物都是发展变化的，而变化的总趋势是上升的；在事物发展的过程中，运动是绝对的，静止是相对的。马克思恩格斯对黑格尔辩证法进行了批判改造,清洗出它的合理内核,创造辩证 唯物主义和历史唯物主义.从黑格尔的辩证法到马克思主义的辩证法,是哲学发 展史上的一个具有革命意义的飞跃.。

人本学是费尔巴哈新哲学的核心。费尔巴哈在对思辨哲学和宗教神学的批判中得出结论，思辨哲学的秘密是神学，神学的秘密是人本学，神的主体是理性，理性的主体是人。因此新哲学的认识原则和主题并不是自我，并不是绝对的亦即抽象的精神。简言之，并不是自为的理性,而是实在的和完整的人的实体。在费尔巴哈看来，我们自己所属的物质的、可以感知的世界，是唯一现实的；而我们的意识和思维，不论它看起来是多么超感觉的，总是物质的、肉体的器官即人脑的产物。物质不是精神的产物，而精神却只是物质的最高产物。马克思在《关于费尔巴哈的提纲》中首次提出了“实践”概念，标志着他从信仰费尔巴哈的思想到开始批判扬弃费尔巴哈，马克思抛弃了费尔巴哈机械的唯物主义，转而把世界理解为人的实践活动的世界。

风电“内核”井喷 篇6

风电运营属于“国家队的游戏”，但风电产业的超常规发展使关键零部件供应短缺，甚至制约了整机产能的释放，风电核心部件正在享受着高毛利的黄金时期。

“2009年，预计中国风力发电应该是在800万至1000万千瓦之间。如果顺利，将超过1000万千瓦。照这样速度发展，应该会超过美国，成为世界风电增速最快的国家。”国家发改委能源研究所副所长李俊峰近日在一次可再生能源研讨会上表示。

无论从国家能源发展方向，还是后续可开发利用的空间来看，未来解决能源需求的重要筹码在于核电、风电、光伏发电等能源类型。

其中，风电在中国拥有丰富的资源储备，在新能源中开发成本最低，具备大规模发展条件，加速风电建设在现阶段成为中国战略的必然选择。风电正在上升至未来中国主流能源之一的地位。此中蕴含的丰富机会，不能不引起投资家们的密切关注。

2020年将跨越1亿千瓦

中国2008年已经提前实现2010年风电装机目标。2007年9月发布的《可再生能源中长期发展规划》中提出，2010年要实现风电装机500万千瓦，2008年3月发布的《可再生能源发展“十一五”规划》将这一目标提高到了1000万千瓦，而中电联口径统计的2008年风电累计装机容量已达894万千瓦(新增466万千瓦)，实际上，按照风电制造统计将达到1100万至1200万千瓦，提前两年完成2010年目标。

《中长期规划》中提出的2020年3000万千瓦的目标，极有可能在2010年完成。原来的规划已经没有指导意义，新的规划正在重新制定中。

风电是中国最具发展潜力的新能源形式。

生物质能发电目前存在电厂分布集中、燃料收集困难、发电成本攀升等难题，发展速度落后于规划，太阳能发电成本远高于其他能源形式，大规模发展尚不适合当前国情；因此，完成可再生能源发电量的任务就只能依靠发展风电来完成。

按照《可再生能源中长期发展规划》，到2010年和2020年，大电网覆盖地区的非水电可再生能源发电量的比例分别达到1％和3％以上；照此计算，2010年和2020年，风电装机需要，达到2150万千瓦和1.05亿千瓦。这个数字是并网发电装机数，对应的风机吊装数还要高。

中国风能资源丰富，开发潜力巨大。中国气象局对风能资源最新评估显示，全国陆上技术可开发量为26.8亿千瓦，考虑到制约因素，粗略估计，其中30％可以得到利用，陆上可开发风能资源为8亿千瓦；近海可开发风能资源(离岸20公里范围内)约1.5亿千瓦，总计约10亿千瓦。若全部开发完毕，每年可提供2万亿千瓦时的电量，相当于2004年全国用电量。

目前我国风能开发利用水平不高，2008年底风电装机容量(按1000万千瓦估算)仅占陆地可用风能的1.25％。中国风能资源储量是印度的30倍，德国的5倍，但目前的装机仅为印度的3／4，德国的1／4，未来发展潜力巨大。

国家发改委明确提出，要在风资源比较丰富的地区(内蒙古、新疆、甘肃、吉林、河北、江苏等)，集中开发建设大型风力发电基地。通过专用或与火电打捆的送出电网外送至负荷中心进行消纳；目前已安排进行了6个千万千瓦发电基地的规划编制，包括甘肃酒泉(1271万千瓦)、新疆哈密(2000万千瓦)、内蒙东部及西部(合计2800万千瓦)、河北北部(1000万千瓦)和江苏沿海(1000万千瓦)；此外还有一批百万千瓦风电基地已开始紧锣密鼓的建设。

根据“风电三峡”的设想，2020年国内建成六大千万千瓦风电基地和一批百万千瓦风电基地，风电总装机容量可达到1.1－1.3亿千瓦，风电将占电力总装机比重的7％－9％，基本与发电集团8％的配额义务相称，同时已可满足3％的发电量需求。

风电井喷，央企资金无碍

国家态度已经明确，规定到2010年和2020年，权益发电装机总容量超过500万千瓦的投资者，所拥有的非水电可再生能源发电权益装机总容量，应分别达到其权益装机总容量的3％和8％以上，这一强制性目标使得电力运营商，特别是五大电力集团，投资风电的热情空前高涨。风力资源条件好、电网接人方便的风场资源有限，电力运营商纷纷跑马圈地，竞相扩大风电投资规模，引发了国内风电行业的超常规发展。

国内各大电力运营商均属于央企。无论是基于未来配额制的管制，还是出于集团保持规模扩张速度以巩固央企地位的战略考量，均加快了风电建设的步伐。

以国电所属龙源电力为例，2005年风电装机仅为44万千瓦，2006年达到81万千瓦，2007年底突破160万千瓦，位居国内风电装机第一、世界第六，计划2010年和2020年装机分别达到550万千瓦和2000万千瓦。

不仅五大发电集团如此，神华、中广核等央企均加入了抢占最有利风电资源的行动，风电建设呈现出当前的井喷式发展，这些大发电集团的风电装机占全国风电装机的70％左右。

国电、华电、华能、神华等大型能源集团均成立了独立的新能源公司，进行风电等新能源开发和运营。从资金来源看，完成2010年配额目标，未来两年需要对风电的资本金支出约180亿元，这对于总资产达万亿规模的五大发电集团来说并非难以做到。从融资渠道来看，银行发放贷款时看重的是大型国企良好的信誉，而风电项目相对常规火电更容易得到各级发改委主管部门审批。因此资金筹措问题并不对风电发展造成阻碍。

本土厂商迅速崛起

风电特许权项目对设备国产化率的强制要求，连同制造成本和服务优势，使本土风电厂商市场份额迅速上升，从2004年的25％左右跃升到2007年的56％。与此同时，本土制造厂商自主创新能力不断增强，涌现出了金风、华锐、东汽等分享兆瓦级风机高端市场的主流厂商。我们预计，三大厂商2008年市场份额可达60％左右，内资厂商总体份额达到70％。

三大厂商在手订单充裕，先发规模优势凸显。风电客户极为看重机组的运行稳定性能，作为对供应商的考核，过往历史业绩是对产品质量、履约能力最好的保障。因此，以三大厂商作为风机采购的首选是最稳妥的，2007年三大厂商合计市场份额约50％左右，2008年将上升至60％，而在最近的甘肃特许权项目招标中，更是体现风电业主对龙头厂商的偏爱。

在旺盛的市场需求推动下，由于国内原有制造基础较好，叶片、发电机等零部件技术壁垒相对较低、产能扩张容易，其供应商数量和产能都增长较快。目前已有30家企业进军叶片制造，电机制造厂商也增加到十几家；连技术难度较大的主轴轴承，国内已有瓦轴、洛轴、天马等厂商进行了大量投入，未来

产能扩张的速度十分惊人，预计轴承的短缺可在一两年内得到较大缓解；仅有变流器(电控)仍是一大瓶颈，国内仅有合肥阳光等厂商做出样机，短时间难以批量应用。

总体来看，零部件产业链供求平衡将在2009年至2010年快速实现。

PE机会在国家队地盘外

风电运营属于“国家队的游戏”，主要是五大发电集团和地方大型发电企业主导，基本无私募股权投资机会。

按照国家政策，对风力发电实行政府指导价，“按照招标形成的价格确定”。从目前已经执行的风电特许权招标项目看，几乎全部是以最低价中标的上网电价，与当前风电实际的成本比照，这些项目几乎全部亏损。由于我国优质风电资源有限，风电运营处于“国家队”的跑马圈地阶段。

风电的系统供应市场呈现“弱肉强食，强者恒强”态势。

国内风电市场由三大系统提供商主导，金风、华锐和东汽占据了半壁江山，具备先发优势。在关键零部件相对短缺阶段，先发企业获得了上游零部件供应量上的倾斜，相对于新进入的整机企业，产能得到充分保障。随着三大龙头企业兆瓦级产能的大量释放，其先发优势更为巩固，规模效应将得到更好体现。

华锐风电作为国内风电整机系统的三大巨头之一，必然会成为私募股权投资机构的追逐对象。东方富海业已成为投资人，是否进行再次融资或者上市只是时间问题。

浙江运达是国内风电整机系统第二梯队的领军企业，基于浙江沿海市场的广阔空间，未来也具有一定得投资价值。

我们发现，国内风电产业的超常规发展使关键零部件供应短缺，甚至制约了整机产能的释放，相比于整机系统15％左右的毛利率，风电核心部件正在享受着高毛利的黄金时期。

风电叶片：国内从事叶片生产企业达到30家，三大叶片提供商除了中航惠腾之外，中材科技和上海玻璃研究所业已上市，目前最具投资价值的叶片提供商非中航惠腾莫属，中航惠腾预计于2009年完成国内上市。

风力发电机：国内领先的风力发电机提供商兰州电机、湘电股份、株洲时代和中国南车业已上市，投资机会不多，如果需要布局产业链，可以参与一下西安捷力的投资。

齿轮箱：国内排名第一的齿轮箱提供商南高齿已经完成香港上市，剩余的投资机会不多，投资人可以投资行业的第二、第三名的企业，杭州前进是不错的选择对象。

电控系统：服务提供商国电南瑞已经完成在国内上市，但是国内领先的巨头——中科院电科所刚刚完成改制，风险投资可以参与其私募融资。

塔架系统：塔架是资金和人力密集型制造行业，目前上海泰胜风电设备和东方铁塔是行业的领导者，两家企业均以完成私募融资，目前正在筹备上市工作。

变逆器和电抗器：国内变逆器的领导者是合肥阳光，2007年完成了首轮的私募融资，获得了KPCB和成为基金的风险投资，此外，合肥阳光离职高管创立的南京冠亚也属于不错的投资标的。在国内电抗器领域。青岛云路是国内的领导者。

技术内核 篇7

随着计算机应用的普及, 各种安全威胁也越来越多, 对安全软件产品的要求也空前高涨。当前的病毒、木马和各种rootk i t等恶意程序已经深入到系统核心中, 运行在内核态, 具有系统的最高权限, 可以任意绕过或拒绝传统的处于应用层的安全软件的防范和监控, 软件安全技术的升级已经是大势所趋, 并且只有一种途径, 那就是像恶意程序一样向系统核心进军, 力求运行在尽可能底层的级别上, 从而抢在恶意程序控制系统核心之前进行拦截。在这个方案中, 必然要利用早在应用层时代就大量使用的钩子技术, 只不过现在这些钩子必须安装在系统内核的某些位置了。

2 如何进入内核

Windows将代码的运行级别分为两种:用户态和内核态。相应的权限也有两种, 用户级权限 (ring3) 和特权级权限 (ri n g 0) 。rin g3下, 可执行除特权指令外的所有指令, 例如普通的应用程序包含的指令;ring0下, 可执行包括特权指令在内的所有指令。对于安全软件来说, 追求的是获得ring0权限。而Windows规定, 只有运行在内核态的代码才有ring0权限, 所以安全软件要做的第一步必须是进入内核。通常, 我们可以通过Windows设备驱动程序的形式进入内核。

设备驱动程序被视为操作系统的扩展, 运行在内核态, 具有ring0权限。我们只要将安全软件按照Windows驱动程序模型 (WDM) 进行编写就可最终编译得到驱动程序文件, 并通过安装驱动

程序或动态加载的方式使其在ring0下运行起来。与应用程序不同, 驱动程序的入口函数是Driver Entry () :

值得一提的是, 不需要实现一个设备驱动程序的全部因素, 因为安全软件的驱动程序并不去真正驱动什么设备, 它只是进入内核的一种手段而已。像电源管理、即插即用、IO操作等内容都可以省掉了。

3 内核数据结构

3.1 系统服务描述符表

系统服务描述符表对应着用户态的W i n 3 2 A P I, 它表示当W i n 3 2 A P I被调用时内核中有哪个函数被相应调用。有两个系统服务描述符表:SSDT和SSDT Sh a d o w。前者对应k e r n e l 3 2.d l l中的W i n 3 2A P I, 后者对应u s e r 3 2.d l l和g d i 3 2.d l l中的W i n 3 2 A P I。系统服务描述符表是个一维数组, 其中按照固定的顺序存放着内核函数的入口地址。例如, Windows XP中内核函数Nt User Send Input () 的地址放在SSDT S h a d o w的第5 0 2项。内核中用一个结构体来封装系统服务描述符表:

其中的Service Table就指向前面所说的一维数组。

两个系统服务描述符表本身的地址可由以下方法求出:SSDT的地址由内核变量Ke Service Descriptor Table指出, SSDT Sha dow的地址等于前者减去64 (仅限于Windo ws X P) 。

有了这些信息, 我们就可以得到任意一个内核函数的入口地址了。例如, SSDT中序号为N的内核函数的入口地址为:

SSDT Sh ad o w中序号为N的内核函数的入口地址为:

3.2 中断描述符表 (IDT)

IDT也是一个一维数组, 可用sid t指令得到这个一维数组的起始地址和长度:

与系统服务描述符表不同, IDT的数组中每个元素不再是一个整数, 而是一个块, 其中记录了中断处理函数的地址 (包括选择字和偏移量) 和中断类型等信息, 可用一个结构体表示:

所以中断号为N的中断, 它的中断处理函数的地址可用以下代码求出:

4 使用内核态钩子进行安全防护

4.1 系统服务描述符表钩子

系统服务描述符表钩子就是修改SSDT或SSDT Shadow的一维数组, 将其中以整数表示的内核函数地址改为自定义的函数地址, 这样, 当系统试图调用本来的内核函数时, 实际调用的是我们自定义的函数, 于是可以实现自定义的判断和操作。这种钩子的目的是检测来自用户层Win32 API调用的合法性和安全性。安装这种钩子的代码如下所示:

内嵌汇编的作用是关闭内核数据结构的写保护机制, 该机制禁止向内核数据结构进行写操作, 即使是对具有ring0权限的代码。应该注意的是, 如果需要在执行完自定义函数后继续执行本来的内核函数, 则必须在改写系统服务描述符表之前先保存本来的内核函数地址。

4.2 IDT钩子

IDT作为系统中非常底层的数据结构, 是各种恶意程序序感兴趣的对象。在IDT中安装钩子将会使自己获得各种中断事件的通知, 并由此进行某些恶意活动。安全软件也可以通过抢先安装这种钩子来防止恶意程序进行非法钩子安装, 在安装完钩子后应该定时检测自己的钩子是否被修改了。这种钩子的目的通常是防止恶意程序非法获得用户的输入。安装这种钩子的代码如下:

4.3驱动程序的派遣例程钩子

如果恶意程序已经通过某些非法途径加载了它自己的驱动程序, 那么安全软件可以通过拦截IRP的方式阻止恶意程序的驱动程序正常运行, 这就是派遣例程钩子, 其本质就是修改恶意程序的IRP的派遣例程为自定义的函数。安装这种钩子的代码如下:

5 结语

本文通过3种内核态钩子技术展示了安全软件如何在系统内核中进行安全防护, 从中可以得出结论:与内核态的恶意程序对抗的途径只能够是深入到更底层的系统级别, 充分剖析系统内核数据结构, 分析系统运作过程, 找出能够安装钩子的位置, 从而进行拦截和分析。也可看出, 将来软件安全技术的发展趋势是挖掘更深入、更复杂的系统内核数据结构, 力图发现新的可安装钩子的位置;在这个过程中也可能发现某些不用钩子的新技术, 例如直接内核对象操作 (DK O M) 。总之, 谁能深入到更底层, 谁就能控制系统内核。

参考文献

[1]Greg Hoglund等, Rootkits—Windows内核的安全防护.清华大学出版社, 2007.

[2]Ric Vieler, Professional Rootkits, Wro x Press, 2007.

技术内核 篇8

在计算领域，虚拟化是一个广义的术语，通常是指对于计算资源的一种抽象。通过虚拟化，可使计算资源复杂的实际物理特性对于应用程序或终端用户加以隐藏[1]。这种过程既可以让单一的物理资源 (如一台服务器，一个存储设备或一个操作系统) 表现为多个可用的虚拟资源，也可以让多个物理资源 (如多台服务器或多个存储设备) 表现为单一的可用虚拟资源[2]，甚至可以将多个物理资源加以整合并分化出多个可用的虚拟资源。

VMware Workstation[3]是一款传统的基于主机操作系统架构的虚拟机，并将虚拟机管理器运行于高特权级以使用特权级指令。这类虚拟机一般是针对特定的平台架构设计的，可以使同一平台架构下的各种操作系统如同应用程序那样高效地运行在同一主机操作系统之上。但是，这种应用模型也有一个非常严重的缺陷—主机操作系统，作为一切的基础，会占用一定的系统资源并大大增加系统达到可信计算所需要验证的代码量。

由于像英特尔这样的硬件制造商开发出了新一代的硬件虚拟化技术，如今像Xen[4]这样的虚拟机管理层已经可以以极小的虚拟化开销支持未经修改的操作系统的高效运行。基于管理层架构的虚拟机所面临的问题是管理层所提供的抽象往往过于粗粒度以至于很难对细小的软件组件进行有效地描述。而对于运行在特权级的虚拟机管理逻辑部分——超级虚拟机 (Super VM) 也是这样。它往往运行在一个商业操作系统软件之上以提供对各虚拟机的管理服务。而一旦发生错误，则将很有可能因此波及到别的虚拟机[5]。

拥有微内核架构的操作系统被设计用以构成一个可自由裁减的系统并且易于保证其可信计算基础，系统所定义的操作系统和用户态应用程序之间的接口与硬件平台的接口很相近，这样既保证了操作系统的功能性，又避免了操作系统的代码过于冗长，十分适合用以构建一个良好的虚拟机环境。有些人使用像L4Linux[6]这样经过修改的客户操作系统使其运行在高效的微内核之上。但是此类修改很难被应用到所有的商业操作系统上致使其应用范围受到严格的限制。

据此，一种颇为可行的方法是有效地利用微内核操作系统的特点，将基于主机操作系统架构的虚拟化和基于管理层的虚拟化融合到一起，结合特权指令部分和一个用户态虚拟机管理器来克服彼此的缺陷。如此，加之利用像L4这样高性能的微内核操作系统，我们可以最终获得在效率，功能性和安全性三方面取得均衡的虚拟机环境。

基于微内核架构的虚拟化技术

本架构 (图2) 设计中，我们将主要针对特定的平台架构 (即英特尔x86架构) ，以L4微内核系统作为基础，利用硬件虚拟化技术的支持以构建高效、安全的虚拟机。

不同于一般的虚拟机，我们将系统划分为两个部分：一个必要的拥有特权指令权限的内核态虚拟机描述部分以运行指令和请求资源，和一个用户态的虚拟机资源控制单元以处理各类事件并实现管理。

内核态虚拟机的抽象将主要要通过两方面完成：一，以L4任务机制为基础，利用其地址空间的控制功能以提供必要的隔离性;二，对线程机制进行增强，形成特殊的虚拟C P U线程，用以模拟每个处理器。

除此之外，构建虚拟机还需要完善内存页表的访问，中断的处理以及文件系统。这些则需要通过内核态的虚拟机描述部分与用户态的虚拟机管理器协同完成。同时还需要利用用户态虚拟机管理器建立一系列的管理和调试接口。

虚拟化技术在嵌入式系统中的应用

基于微内核的虚拟机环境具有高可靠性，高灵活性以及实时性支持等特点，而随着虚拟化技术的不断发展，以及新体系架构的引入，嵌入式系统虚拟化的性能障碍也正被逐渐克服，使之可以在嵌入式系统中有着以下广泛的应用前景。

随着智能手机，移动互联网终端 (MID) 等一系列概念的推出与发展，嵌入式系统正逐渐超越个人计算机成为主流的个人信息交互终端，随之而来的则是对嵌入式系统的信息安全性能所提出的挑战。通过虚拟化，我们可以支持多个相互隔离的操作系统在嵌入式平台上的同时运行，把如电子商务等安全性要求较高的应用封装在一个高度隔离的客户操作系统当中，并开放另一个操作系统做为普通应用程序的运行环境，实现高度安全可靠的运行模式。

通过使用基于微内核架构的虚拟机，我们可以把嵌入式系统的硬件资源转化为各个不同的实时系统服务向上以虚拟设备的方式提供给虚拟机上运行的客户操作系统。借由这种方式，可以同时支持丰富的非实时和实时应用程序的同时运行并为非实时的应用程序与实时的系统功能之间提供一个良好而透明的交互接口。

通过使用虚拟机, 我们可以在嵌入式平台上得到一个兼容性较高的软件运行环境, 最大程度地使嵌入式系统在硬件上的特异性通过软件虚拟的方式变得透明化, 进一步使不同的嵌入式系统平台之间以及嵌入式平台和个人计算机之间能够实现软件运行的兼容。并且通过虚拟化, 我们还能实现诸如不同平台之间的程序迁移, 分布式运行, 故障恢复等复杂的功能。

通过引入网络互联和远程访问机制, 把各种远程的计算资源和设备资源借助虚拟化、本地化, 实现操作系统对于远程资源的透明访问, 大幅扩展嵌入式系统的系统功能, 使未来的嵌入式系统做为信息终端更加适应云到端—数据中心到信息终端的发展模式。

结语

本文总结了虚拟化技术近期的发展和所取得的成果, 分析了当前主流的虚拟机架构。笔者认为基于主机系统和虚拟机监视器的全虚拟化架构过于依赖宿主系统的系统服务, 导致基础代码的大量增加, 大大降低了系统的可靠性, 并且很大程度上受限于主机系统的系统架构。另一方面, 基于虚拟管理层的半虚拟化架构则缺乏稳健的系统构成, 仅对虚拟机提供了大粒度的抽象, 无法构建短小而精悍的系统。在此基础上, 我们提出一种新的虚拟机环境, 将两者的优点有机的结合起来, 整个虚拟机环境将被分成两部分:为环境提供可靠性, 安全性以及隔离度的虚拟机抽象;和提供资源管理和功能实现的用户态虚拟机管理程序。而这样的架构不仅具有高可靠性和灵活性, 而且由于其占用资源少并能提供实时性支持等特点在嵌入式系统领域拥有广泛的应用前景。

摘要：本文通过引入基于微内核架构的虚拟化技术, 提出一种新的虚拟机结构, 实现微内核虚拟机抽象和用户态虚拟机管理服务的有机结合。架构不仅具有高度的可靠性和灵活性并且能为虚拟机运行环境提供实时性支持, 使其在系统资源受限, 对实时性要求较高的嵌入式系统领域有着广泛的应用前景。

关键词：虚拟化,微内核,操作系统,L4,可靠性

参考文献

[1] TURBAN, E (2008) . Electronic Commerce A Managerial Perspective P27. Prentice-Hall.;Virtualization in education. IBM

[2] MANN, ANDI, The Pros and Cons of Virtualization, Business Trends Quarterly, Retrieved on 21 April 2008; Mann, Andi, Virtualization 101, Enterprise Management Associates (EMA) , Retrieved on 29 October 2007

[3] J.SUGERMAN, G.VENKITACHALAM, B.H.LIM.Virtualizing I/O devices on VMware workstat’ison hosted virtual machine monitor. In Proceedings of the General Track: 2002 USENIX Annual Technical Conference, pages 1～14, Berkeley, CA, USA, 2001.USENIX Association

[4] P. BARHAM, B. DRAGOVIC, K. Fraser, et al.Xen and the art of virtualization. In S’O0S3P: Proceedings of the nineteenth ACM symposium on Operating systems principles, pages 164～177, New York, NY, USA, 2003. ACM Press

[5] SEBASTIAN BIEMULLER: Hardware-Supported Virtualization for the L4 Microkernel, University at Karlsruhe, 29. September 2006

技术内核 篇9

中嘉华诚网络安全技术有限公司董事长薛京树和航天讯联 (北京) 网络技术有限公司董事长黄德生为GKR单机旗舰版揭幕。

推介会上, 中嘉华诚网络安全技术有限公司董事长薛京树就我国电子政务建设发展现状、存在问题及防护手段作了深层次地剖析。薛董指出, 目前国内使用的计算机操作系统依赖于国外的技术和产品, 这种系统对计算机没有任何安全可靠感。基于此, 亟需一个能够真切保护安全的操作系统, 为我国的信息安全做保障。

中嘉华诚网络安全技术有限公司总工程师张春良在介绍内核加固免疫系统GKR产品时说, GKR产品包含GKR服务器板、专业版、单机版和网络版四款系列产品。此次我们隆重推出的是单机版, 它是由中嘉华诚和航天讯联经过数年联合刻苦研发的。产品在信息安全技术领域采用独创的内核级崭新理念。从技术层面上, 创造性地应用了操作系统内核加固技术, 对操作系统内核实施保护, 对网络中不安全因素实现有效控制。该产品使系统安全体系从被动防御转变为主动防御, 使信息安全技术应用由“治标”转入“治本”, 对引导信息安全技术应用观念的转变起着十分重要意义。

张春良说, 内核加固免疫系统GKR系列产品单机旗舰版是专为个人电脑用户设计, 针对当前网络环境的不安全隐患及不可预测情况推出的全新安全产品。它从“操作系统加固, 主动防御攻击”着手, 通过保护操作系统的重要资源以阻止恶意程序的运行, 主动防御外来的风险或攻击, 使其为用户操作系统构建一个多层次、立体化的防御体系, 从根本上免疫各种已知和未知病毒、木马以及黑客等攻击行为, 也为用户敏感信息, 提供免被黑客盗取或被破坏的可能, 为用户提供一个安全、可信的系统应用环境。

“GKR系列产品单机版对操作系统文件、进程、注册表、网络及服务应用软件和用户数据的全面保护等将起到作用。”中嘉华诚网络安全技术有限公司副总经理杨明磊回答记者提问时说, “对普通个人用户来说, 主要功能和次要功能是单机版的两大主要功能, 能全面提升操作系统的安全性和稳定性, 并占用及小的空间, 在价格上也比较便宜。”

用户代表湖北省武汉市信息中心网站部主任张波在推介会上做了热情洋溢的发言。他说, 中嘉华诚网络安全技术有限公司为武汉市100多户党政机关政务网站提供了多站点GKR内核加固系统, 为我们工作筑起了安全屏障, 确保了我们网站的正常运行, 更好的服务了人民群众, 证明了GKR内核加固系统是功能优良、值得用户信赖的好产品。

来自山东省青岛市东方网吧网管唐冬生, 在发言中说, GKR产品无需频繁的更新病毒库, 没有繁琐的提示, 像一堵无形的墙阻挡着来自外来的已知和未知的威胁, 默默地保护着系统的安全。我通过不断地尝试着使用GKR产品, 满足了网吧的实际需求。更期待着中嘉华诚给广大电脑用户带来更多更好的安全产品。 (本刊记者王胜举)

企业资料

北京中嘉华诚网络安全技术有限公司, 以中国航天工业雄厚的科研实力为依托, 拥有国内网络安全青年技术人才组成的研发队伍, 并得到来自航天、总参等国内网络安全技术专家的全面支持。

业务范围包括:计算机网络安全技术研发、安全网络系统集成、安全应用系统开发、网络安全产品推广及网络安全技术咨询服务等。以自主研发的网络安全技术和产品为主, 为客户提供有关网络安全的咨询、设计、规划、集成、培训和支持等服务。公司自主研发的网络安全产品, 其技术含量及性能指标达到了国内先进水平。

2006年12月17日, 公司在人民大会堂举行的“中国最具影响力创新成果100强”颁奖大会中获得“中国最具影响力创新成果百强大奖”和“中国最具影响力创新成果示范基地”的荣誉称号。

编者按:为了让众多用户对内核加固免疫系统GKR系列产品单机版使用后的情况有所了解, 本刊选登了部分用户在产品推介会上的发言, 以飨读者。

用户代表发言之一:湖北省武汉市信息中心网站部主任张波

“中国武汉”政府门户网站与中国航天科技集团中嘉华诚网络安全技术有限公司的技术交流已经有8个年头, 2003年我们网站开始使用GKR内核加固系统。2006年中嘉华诚网络安全技术有限公司又为武汉市100多户党政机关政务网站提供了多站点GKR内核加固系统, 并提供手机遥控功能, 深受我市党政机关政务网站工作同志的好评。6年来, 该产品使用方便, 运行稳定, 安全性能可靠, 完全满足我们的工作需要。为“中国武汉”政府门户网站安全平稳的运行提供了保障。在国务院信息办开展的“中国政府网站绩效评估”中, 我们网站2003年排名第六、2004年排名第三、2 0 0 5年排名第二、2006年、2 0 0 7年均排名第四。“中国武汉”政府门户网站始终保持在优秀政府网站行列。

成绩的取得来之不易, 多年的工作经验和教训使我们深刻认识到网站安全的重要性。我们网站部除了对“中国武汉”政府门户网站进行日常维护之外, 还对武汉市多家党政机关的网站进行服务器托管服务和技术维护等工作。在使用GKR内核加固系统之前, 党政机关网站先后有20余家网站被黑客攻击, 严重影响了党政机关的正常工作, 同时使政府的形象受损。是中嘉华诚网络安全技术有限公司的GKR内核加固系统为我们的工作筑起了安全的屏障, 确保了我们网站的正常运行, 更好的服务于人民群众。我们的实践证明了GKR内核加固系统是功能十分优良、值得用户信赖的好产品。在此我要代表我们网站的全体同志向中国航天科技集团中嘉华诚网络安全技术有限公司表示感谢, 谢谢他们在我们网站的建设和发展中给予我们的大力支持。

最后祝愿中国航天科技集团中嘉华诚网络安全技术有限公司在网络安全技术方面开发出更多更好的产品, 取得更大成就!

用户代表发言之二:山东省青岛市东方网吧网管唐冬生

我是来自青岛一普通网吧的技术网管, 作为中嘉华诚内核加固免疫系统的第一批测试用户, 今天说说我对这款软件的感受, 我称之为“我与中嘉华诚内核加固免疫系统的战斗”。

第一次接触到这个名字有点奇怪的软件时候, 我确实不知道它是做什么用的, 在听中嘉华诚技术人员说这是一个可以加固系统内核, 并且对已知和未知病毒都能起到免疫的软件, 能够完全保护您的系统不受病毒的侵害, 还能保证系统的稳定, 不会再出现系统崩溃的情况。

我听后半信半疑的点了点头, 一个我从来没有听过名字的软件还能有这么强大的功能, 我表示怀疑, 因为我从事个人及家庭系统维护多年, 接触和使用过的杀毒软件较多, 我的内心是期待着有这样一款放心软件出现的, 于是迫不急待的安装到电脑上开始试用。

拿到安装包, 我专门看了安装包的大小, 竟然不到10M的大小, 安装过程非常简洁快速, 与现在市面上的杀毒软件的复杂安装及设置完全不一样。安装后竟然没有提示要求重新启动计算机, 奇怪了, 我在想, 难道这样也能保护电脑系统?

由于软件安装前几天, 机器狗病毒疯狂发作, 网吧400多台电脑无一幸免的中了病毒, 由于这个病毒能够穿透现有的大部分还原系统, 现有杀毒软件由于还没有发布最新的病毒库, 无法进行查杀, 为此我们不得不重新做系统。我在想, 拿这个病毒来试试中嘉华诚GKR的安全性, 于是我把自己前段时间收集的几十个病毒样本一股脑儿全双击运行了一次。只见右下角出现一堆的警报提示, 哗哗啦啦的, 系统也开始忙碌运转, 我点完后过了大概30秒钟, 系统稳定下来, 没有出现蓝屏, 也没有出现死机和重启现象。我心里还是有些不服, 对旁边的工作人员说, 也许重启后病毒就会发作了。机器正常重启后, 我以自己的经验到启动项里, 到注册表和系统服务里, 到system32文件夹下寻找病毒的影子, 想通过和种方式来打击这款“中嘉华诚内核加固免疫系统”, 但我最终还是没有找到, 病毒完全被软件的主动保护功能挡住了。接下来, 我又通过修改系统时间, 访问带木马的网站等方式来想突破中嘉华诚内核加固免疫系统的防御, 但是一次次的无功而返, 在这场我与中嘉华诚内核加固免疫系统的战斗中, 我败下阵来。

技术内核 篇10

关键词：微电极导向立体定向技术,脑深部电刺激,脑内核团毁损,帕金森病

帕金森病(Parkinson’s disease,PD)又称“震颤麻痹”[1,2,3],因最早系统描述该病的人是英国的内科医生詹母·帕金森,因此而命名。是老年人最常见的神经变性疾病之一,是中枢神经系统常见的退行性疾病,患者年龄多在60岁以上,据相关文献报道,1%的老年人患有帕金森病;在中年人群中的患病率约为0.4%,在青春期或儿童期也偶有发病。其首发症状一般是单侧手部以4~8Hz的频率静止性震颤。临床主要表现为手脚或身体其它部分的震颤,患者多表现为身体失去柔软性,变得僵硬、动作缓慢等。言语障碍也是帕金森病患者的常见症状。该疾病的病变部位在基底神经节。对帕金森病的手术治疗目前主要为脑内核团毁损和脑深部电刺激。为了比较微电极导向立体定向技术行脑内核团毁损和脑深部电刺激治疗帕金森病的效果,本研究对我院2008年6月~2010年6月216例帕金森病患者的治疗情况进行回顾性分析,现报道如下。

1 资料与方法

1.1 一般资料

我院2008年6月~2010年6月216例帕金森病患者,按照治疗方法不同分为二组,采用微电极导向立体定向技术行脑内核团毁损180例患者为毁损组,其中男112例,女68例;年龄29~81岁,平均年龄61.5岁;病程1~28年,平均9.7年;采用脑深部电刺激(DBS)治疗的36例患者为DBS组;其中男21例,女15例;年龄32~82岁,平均年龄62.5岁;病程1~29年,平均10.2年;二组患者在年龄、性别、病程上差异无显著性,无统计学意义P>0.05。

1.2 治疗方法

1.2.1 治疗仪器RFG-3CF型射频仪(美国Radi-onics公司),射频电极直径1.1 mm,尖端裸露2mm;Medtronic电极及脉冲发生器。

1.2.2毁损组治疗方法在局麻下安装Leksell立体定向头架,采用MRI扫描定位,确定最后毁损靶点坐标。电极穿刺到位后采用微电极记录,微电极范围下限为500Hz,上限为2k Hz,将信号放大20000倍后在显示屏上显示,显示靶点外放电,每个靶点记录l-3个针道后采用专业软件对电信号进行分析,以确定靶点边界及靶点周围结构。设备采用RFG-3CF型射频仪(美国Radi-onics公司),毁损前用200Hz、0.2ms脉冲刺激,先行60℃60s试加温,同时密切观察患者反应,如未发生不良反应,温度提高到80℃持续60s作永久性毁损。所有患者毁损均从靶点底部开始,间隔lmm作5~8个连续的毁损灶。如果未达到治疗效果,则调整坐标1-2mm后另作一条毁损道。

1.2.3 DBS组治疗方法定位及手术方法基本同毁损组;刺激电极植入到位后,接体外临时刺激器调整参数,同时密切观察患者有无不良反应及症状改善情况。常用参数:频率160Hz,电压1.0-3.0V,脉宽90ms。调整至确认刺激有效且无不良反应后将电极固定在嵌在颅骨孔的固定装置上,常规C臂机透视确认电极位置正确无误后,全麻下于锁骨下方或腋下作5~6cm切口将脉冲发生器植入胸部皮下,并通过皮下延长导线与脑内电极连接。本组36例患者中有1例术中欠配合无法观察刺激效果,后进行分次手术,连接体外临时刺激器回病房后经多次调整参数患者症状有明显改善,然后再次手术将脉冲发生器植入皮下。

1.3 观察指标

观察二组患者治疗前及治疗后随访6~12个月症状改善情况及UPDRS运动评分。

1.4 疗效评估

显效:患者症状基本或完全消失;改善:患者症状有不同程度改善;无效;患者症状无明显变化。

1.5 统计学方法

数据采用SPSS13.0统计学处理,计量资料以(±s)表示,且进行t检验,以P<0.05有统计学意义。

2 结果

2.1 UPDRS运动评分

从二组治疗后运动评分症状改善情况显示,毁损组在“开”状态下,症状改善70例,占38.89%;“关”状态下,症状改善96例,占63.33%;DBS组在“开”状态下,症状改善10例,占27.78%;“关”状态下,症状改善19例,占52.78%;二组比较差异无显著性,无统计学意义P>0.05。详见表1

2.2 二组患者随访6~12个月效果观察

DBS组中23例在1月后症状改善,未调整参数,13例因治疗后症状未完全控制,经再次调整参数后症状完全控制,总有效率100%;毁损组随访6~12个月,显效101例,占56.11%;有效65例,占36.11%;无效14例,占7.78%,总有效率为92.22%,二组比较差异具有显著性,有统计学意义P<0.05。详见表2

2.3 并发症

毁损组中共发生不良反应7例,发生率为3.89%;其中颅内出血1例,经保守治疗痊愈;构音障碍2例;轻度面瘫1例;精神异常1例;轻瘫试验阳性2例;DBS组中除在脉冲发生器开启一瞬间有3例出现对侧肢体有轻度麻木外,无其他不良反应,无1例死亡病例,二组比较差异具有显著性,有统计学意义P<0.05。

3 讨论

随着研究的深入,对帕金森病的发病机制有了更深的了解,临床大多数学者认为帕金森病是由于各种因素致使脑内分泌多巴胺的神经元数量减少,活性下降,从而导致脑内多巴胺含量减少,使STN的神经活性增加,进而诱导GP/STN的兴奋活性增强,对运动皮层的兴奋作用下降导致运动减少等症状[4,5]。进入二十一世纪,医疗技术有了长足的发展,神经影像学、生物医学工程、神经电生理技术的有机结合使帕金森病的治疗有了重大的突破。对核团的损毁和电刺激可抑制附近神经元的细胞放电,提高抑制性神经的突触兴奋,直接抑制神经元细胞体兴奋,作用于传出纤维,继而作用于附近神经元的细胞,从而使治疗效果有了明显提高[13,14,15]。目前临床常用的二种治疗方法微电极导向立体定向技术行脑内核团毁损和脑深部电刺激治疗均是治疗帕金森病的有效方法。尤其是脑深部电刺激治疗术,可在手术中合理选择患者颅内靶点,术后可根据患者症状控制情况随时调节参数,长期控制患者症状,以达到最佳治疗效果。从DBS组治疗效果显示,23例在1月后症状改善,未调整参数,13例因治疗后症状未完全控制,经再次调整参数后症状完全控制,总有效率100%;而毁损组随访6~12个月,显效101例,占56.11%;有效65例,占36.11%;无效14例,占7.78%,总有效率为92.22%,二组比较差异具有显著性,从二组不良反应的发生率显示,毁损组中共发生不良反应7例,发生率为3.89%;DBS组中除在脉冲发生器开启一瞬间有3例出现对侧肢体有轻度麻木外,无其他不良反应,无1例死亡病例,二组比较差异具有显著性,结果提示脑深部电刺激治疗帕金森病术具有并发症少、安全有效的特点。

脑内核团毁损术作为治疗帕金森病的综合治疗手段早已在临床上广泛使用,脑内核团毁损术治疗的关键在于毁损灶大小的制作及对靶点的准确定位上,毁损灶大小的制作是另一个影响毁损术效果和术后并发症的关键因素。毁损灶过小,疗效差,易复发;毁损灶过大,影响到周围重要结构会出现严重的并发症,而靶点的准确定位容易受到多因素的影响,如分辨率的影响,难以准确辨认基底核团,再加之解剖上的个体差异,患者脑萎缩,手术中脑脊液的流失,以及空气进入颅内都会导致脑组织移位,影响靶点定位的准确性[6,7,8,9,10,11,12]。

层层剥笋 直抵内核 篇11

在学习“比”这节课之前，学生已经学过分数的意义、分数与除法的关系、百分数的意义与应用，这一切都为学习“比”的知识奠定了扎实的基础。比是一个重要的概念，它沟通了比与分数、除法的关系，是结构明确、适用范围广、自我生长和迁移能力强的基础知识，在数学课程和教材中处于重要的基础和主干地位，具有内在逻辑的连贯性和一致性，显然这一内容本身就是数学的核心知识。因此 ，建构概念时应该围绕知识，精心组织大问题，层层剥笋般触摸至比的内核，方能凸显知识的核心价值。

回顾本节课的教学，学生学习的素材仅仅是几个简单的问题，然而其学习方式发生了根本改变，直抵知识核心的问题促进了学生思考，学生在比较与分析中走进了比，认识了比，经历了“比”的意义的建构过程，知识的核心价值也得到了相应的凸显。

一、创设情境 引发思考.

课始，教师为学生提供了以下几幅照片（图1），让学生寻找哪几幅照片比较像。引起笑场的照片，或高或扁，照片的规格不同，可是看起来有些相同，有些变形，这是为什么呢？引发了学生的数学思考：为什么这几幅照片比较像呢？这里面有什么奥秘呢？教师利用课件将照片隐去，显示出如下长方形（图2），将学生的注意力由生活中的照片逐渐集中到数学图形上。学生从比较像的照片中会发现长方形A的长是长方形C的长的■，宽也是C的■，所以比较像；同时学生也发现长方形A的长是宽的■，长方形C的长也是宽的■。也就是只有这两个长方形相对应的长是宽的几分之几是一定的，它们才相似。这样教师通过生活的素材，引导学生由生活进入“数学”，把生活和数学有机结合起来，沟通了数学与生活的联系。这，体现了 “人人学有价值的数学”的新课程理念。

■

■

二、逐层深入 化解难点

“数学是思维的体操。”当学生经历生活问题数学化的过程后，教师如何引导学生探索数学规律从而总结规律？在教学中，我始终围绕“比”的意义的核心，将难点分解在三个问题中，逐层深入，扎扎实实让学生亲历学习的过程。

在学生初步感知比表示两个数相除的表象之后，教师出示了问题（1） 妈妈早晨准备了2杯果汁和3杯牛奶。问学生这两个量能不能比，从而让学生认识到两个同类量可以比，当一个量是另一个量的几分之几时可以用“比”来表示；接着出示问题（2） 马拉松选手跑40千米大约需2小时，这时学生发现这两个量是不相同的量，此时出现了两种不同的声音，有的学生认为不可以比，因为量不同；也有的学生认为可以比，用路程÷时间=速度，因此路程与时间也可以比，只不过这样比时造出了一个新的量，比的结果表示的是速度的意思。这样的学习，拉近了比与生活的联系，启发了学生关注“比”表示两个数相除的关系这一知识本源，排除了外在的不必要的干扰，亲历了感性认识上升到理性认识的过程，逐渐形成了比的概念。不过此时概念的建立还仅仅是初步的，还需要用反例来比较，触动比这一概念的核心。因此此时教师并没有罢手，而是出示了问题（3）小明买了4支钢笔，每支6元钱。这里的两个量也是不相同的量，可是为什么不能用“比”表示呢？帮助学生辨析，因为这里的两个量是具有相乘的关系，所以不能用比来表示。只有两个量是相除的关系时才可以用比来表示。教师恰到好处地点拨引导，学生都能主动地参与学习，积极思考，整个课堂气氛十分活跃，学生的思维得到升华，核心问题的价值得到彰显。

上述三个问题的深入对话，学习者了解到有意义的关系、沟通了知识之间的内在结构、触摸了数学知识的核心，伴有一种令人愉快的体验，这是人类所能具有的最积极的体验之一。这种逐层深入主动建构的积极体验对其后续学习将产生深远的影响。

这节教学的成功实践，增强了我层层剥笋，直抵“核心知识”教学的信心。其实着力于教材中处于知识技能和数学思想方法交汇处的核心知识是数学教学的应然选择，是教师有效突破难点，突出重点教学的必然选择。这是一节平实的数学课，但由于教师在教学中层层深入抓住知识的核心关键处，将难点分解成几个关键，逐个突破，在知识与儿童之间找寻一个中间地带，让知识像呼吸一样自然，在学生的体验中自然生长，从而有效地促进了学生思维发展。（作者单位：浙江省杭州市余杭区育才实验小学）endprint

新课程改革实施以来，数学课堂教学异常繁荣。层出不穷的教育理念、版本各异的教材呈现、精彩纷呈的名师引领，真可谓是乱花迷眼。打开《数学》课本，各种信息铺天盖地袭来，一线教师迫切需要一双慧眼，看透雾里的花，认清知识的内核。笔者在教学“生活中的比”一课时，从“比”这一数学知识的本原出发，层层剥茧，直抵知识内核，取得较好的效果。

在学习“比”这节课之前，学生已经学过分数的意义、分数与除法的关系、百分数的意义与应用，这一切都为学习“比”的知识奠定了扎实的基础。比是一个重要的概念，它沟通了比与分数、除法的关系，是结构明确、适用范围广、自我生长和迁移能力强的基础知识，在数学课程和教材中处于重要的基础和主干地位，具有内在逻辑的连贯性和一致性，显然这一内容本身就是数学的核心知识。因此 ，建构概念时应该围绕知识，精心组织大问题，层层剥笋般触摸至比的内核，方能凸显知识的核心价值。

回顾本节课的教学，学生学习的素材仅仅是几个简单的问题，然而其学习方式发生了根本改变，直抵知识核心的问题促进了学生思考，学生在比较与分析中走进了比，认识了比，经历了“比”的意义的建构过程，知识的核心价值也得到了相应的凸显。

一、创设情境 引发思考.

课始，教师为学生提供了以下几幅照片（图1），让学生寻找哪几幅照片比较像。引起笑场的照片，或高或扁，照片的规格不同，可是看起来有些相同，有些变形，这是为什么呢？引发了学生的数学思考：为什么这几幅照片比较像呢？这里面有什么奥秘呢？教师利用课件将照片隐去，显示出如下长方形（图2），将学生的注意力由生活中的照片逐渐集中到数学图形上。学生从比较像的照片中会发现长方形A的长是长方形C的长的■，宽也是C的■，所以比较像；同时学生也发现长方形A的长是宽的■，长方形C的长也是宽的■。也就是只有这两个长方形相对应的长是宽的几分之几是一定的，它们才相似。这样教师通过生活的素材，引导学生由生活进入“数学”，把生活和数学有机结合起来，沟通了数学与生活的联系。这，体现了 “人人学有价值的数学”的新课程理念。

■

■

二、逐层深入 化解难点

“数学是思维的体操。”当学生经历生活问题数学化的过程后，教师如何引导学生探索数学规律从而总结规律？在教学中，我始终围绕“比”的意义的核心，将难点分解在三个问题中，逐层深入，扎扎实实让学生亲历学习的过程。

在学生初步感知比表示两个数相除的表象之后，教师出示了问题（1） 妈妈早晨准备了2杯果汁和3杯牛奶。问学生这两个量能不能比，从而让学生认识到两个同类量可以比，当一个量是另一个量的几分之几时可以用“比”来表示；接着出示问题（2） 马拉松选手跑40千米大约需2小时，这时学生发现这两个量是不相同的量，此时出现了两种不同的声音，有的学生认为不可以比，因为量不同；也有的学生认为可以比，用路程÷时间=速度，因此路程与时间也可以比，只不过这样比时造出了一个新的量，比的结果表示的是速度的意思。这样的学习，拉近了比与生活的联系，启发了学生关注“比”表示两个数相除的关系这一知识本源，排除了外在的不必要的干扰，亲历了感性认识上升到理性认识的过程，逐渐形成了比的概念。不过此时概念的建立还仅仅是初步的，还需要用反例来比较，触动比这一概念的核心。因此此时教师并没有罢手，而是出示了问题（3）小明买了4支钢笔，每支6元钱。这里的两个量也是不相同的量，可是为什么不能用“比”表示呢？帮助学生辨析，因为这里的两个量是具有相乘的关系，所以不能用比来表示。只有两个量是相除的关系时才可以用比来表示。教师恰到好处地点拨引导，学生都能主动地参与学习，积极思考，整个课堂气氛十分活跃，学生的思维得到升华，核心问题的价值得到彰显。

上述三个问题的深入对话，学习者了解到有意义的关系、沟通了知识之间的内在结构、触摸了数学知识的核心，伴有一种令人愉快的体验，这是人类所能具有的最积极的体验之一。这种逐层深入主动建构的积极体验对其后续学习将产生深远的影响。

这节教学的成功实践，增强了我层层剥笋，直抵“核心知识”教学的信心。其实着力于教材中处于知识技能和数学思想方法交汇处的核心知识是数学教学的应然选择，是教师有效突破难点，突出重点教学的必然选择。这是一节平实的数学课，但由于教师在教学中层层深入抓住知识的核心关键处，将难点分解成几个关键，逐个突破，在知识与儿童之间找寻一个中间地带，让知识像呼吸一样自然，在学生的体验中自然生长，从而有效地促进了学生思维发展。（作者单位：浙江省杭州市余杭区育才实验小学）endprint

新课程改革实施以来，数学课堂教学异常繁荣。层出不穷的教育理念、版本各异的教材呈现、精彩纷呈的名师引领，真可谓是乱花迷眼。打开《数学》课本，各种信息铺天盖地袭来，一线教师迫切需要一双慧眼，看透雾里的花，认清知识的内核。笔者在教学“生活中的比”一课时，从“比”这一数学知识的本原出发，层层剥茧，直抵知识内核，取得较好的效果。

在学习“比”这节课之前，学生已经学过分数的意义、分数与除法的关系、百分数的意义与应用，这一切都为学习“比”的知识奠定了扎实的基础。比是一个重要的概念，它沟通了比与分数、除法的关系，是结构明确、适用范围广、自我生长和迁移能力强的基础知识，在数学课程和教材中处于重要的基础和主干地位，具有内在逻辑的连贯性和一致性，显然这一内容本身就是数学的核心知识。因此 ，建构概念时应该围绕知识，精心组织大问题，层层剥笋般触摸至比的内核，方能凸显知识的核心价值。

回顾本节课的教学，学生学习的素材仅仅是几个简单的问题，然而其学习方式发生了根本改变，直抵知识核心的问题促进了学生思考，学生在比较与分析中走进了比，认识了比，经历了“比”的意义的建构过程，知识的核心价值也得到了相应的凸显。

一、创设情境 引发思考.

课始，教师为学生提供了以下几幅照片（图1），让学生寻找哪几幅照片比较像。引起笑场的照片，或高或扁，照片的规格不同，可是看起来有些相同，有些变形，这是为什么呢？引发了学生的数学思考：为什么这几幅照片比较像呢？这里面有什么奥秘呢？教师利用课件将照片隐去，显示出如下长方形（图2），将学生的注意力由生活中的照片逐渐集中到数学图形上。学生从比较像的照片中会发现长方形A的长是长方形C的长的■，宽也是C的■，所以比较像；同时学生也发现长方形A的长是宽的■，长方形C的长也是宽的■。也就是只有这两个长方形相对应的长是宽的几分之几是一定的，它们才相似。这样教师通过生活的素材，引导学生由生活进入“数学”，把生活和数学有机结合起来，沟通了数学与生活的联系。这，体现了 “人人学有价值的数学”的新课程理念。

■

■

二、逐层深入 化解难点

“数学是思维的体操。”当学生经历生活问题数学化的过程后，教师如何引导学生探索数学规律从而总结规律？在教学中，我始终围绕“比”的意义的核心，将难点分解在三个问题中，逐层深入，扎扎实实让学生亲历学习的过程。

在学生初步感知比表示两个数相除的表象之后，教师出示了问题（1） 妈妈早晨准备了2杯果汁和3杯牛奶。问学生这两个量能不能比，从而让学生认识到两个同类量可以比，当一个量是另一个量的几分之几时可以用“比”来表示；接着出示问题（2） 马拉松选手跑40千米大约需2小时，这时学生发现这两个量是不相同的量，此时出现了两种不同的声音，有的学生认为不可以比，因为量不同；也有的学生认为可以比，用路程÷时间=速度，因此路程与时间也可以比，只不过这样比时造出了一个新的量，比的结果表示的是速度的意思。这样的学习，拉近了比与生活的联系，启发了学生关注“比”表示两个数相除的关系这一知识本源，排除了外在的不必要的干扰，亲历了感性认识上升到理性认识的过程，逐渐形成了比的概念。不过此时概念的建立还仅仅是初步的，还需要用反例来比较，触动比这一概念的核心。因此此时教师并没有罢手，而是出示了问题（3）小明买了4支钢笔，每支6元钱。这里的两个量也是不相同的量，可是为什么不能用“比”表示呢？帮助学生辨析，因为这里的两个量是具有相乘的关系，所以不能用比来表示。只有两个量是相除的关系时才可以用比来表示。教师恰到好处地点拨引导，学生都能主动地参与学习，积极思考，整个课堂气氛十分活跃，学生的思维得到升华，核心问题的价值得到彰显。

上述三个问题的深入对话，学习者了解到有意义的关系、沟通了知识之间的内在结构、触摸了数学知识的核心，伴有一种令人愉快的体验，这是人类所能具有的最积极的体验之一。这种逐层深入主动建构的积极体验对其后续学习将产生深远的影响。

地产文化:内核及形态 篇12

《易》说:“观乎人文, 以化成天下。”所谓文化皆由人而成, 是为人的物质、精神生活的外化及痕迹。而地产文化, 最内核的组成大致是为地脉、建筑和社区三部分。地脉文化是区域原始特色文化的代称。地产与地域文化的“联姻”, 是地脉文化的呈现形式。建筑文化是城市文化的重要组成部分, 包括地域风俗、时代和技术在建筑上的折射。社区文化是通行于一个社区范围内的特定的文化现象, 是居住文化最集中的体现。

内核之一:地脉文化

房地产是一个地域性很强的产业, 每个城市、每个地区都有自己独特的风格和文化, 这些地脉文化形成了当地的生活习惯, 并具体表现在人们的喜好、行为和文化观念等方面。居住文化只有体现出地域特色才会有市场和生命力, 许多开发商意识到了这一点, 在了解城市的地形、地貌、气候、环境等外在因素后, 还对当地的人文历史等内在底蕴进行深刻思考, 深掘出城市独特的文化主题。比如北京是传统的古典文化, 上海是海派文化。当然, 关注居住文化的地域性并不是排斥外来文化。居住文化不是封闭的, 它强调地脉文化的同时更提倡对其他居住文化甚至是外来文化的吸收, 这样兼收并蓄, 才会使居住文化得以持续发展。

内核之二:建筑文化

建筑文化是一定地域风俗在建筑上的折射, 也是城市时代精神的折射。每一座建筑都有自己的性格和精神, 建筑文化所包含的中华民族的特性, 是中华艺术和思想的精彩部分。建筑文化的发展趋势下, 多种多样的建筑流派和建筑思潮层出不穷, 与城市意识流的多元化交织在一起, 形成丰富的建筑文化格局。面对外来建筑流派的不断涌入, 建筑文化的出路, 在于继承和发扬传统建筑文化的精髓, 同时充分利用现代科技和世界先进建筑设计理念, 进行符合时代潮流的创新。

内核之三:社区文化

过去的社区里, 单纯的冬暖夏凉、水电畅通、绿草茵茵, 或者人们早晨遛狗互致问候, 已经呈现出社区文化的雏形。现在的社区文化, 形式更加多元化, 开发商动用了更广泛的资源培育和谐的社区文化, 更注重文化氛围的营造和整合, 是一种人文思想的凸显和文化品位的延伸, 一个理想的居住社区需要体现出与其环境相得益彰的文化特征或价值取向, 以获得趋于主流人群的高度认同而达到和谐。社区文化实质上凸显了一种人文的精神, 一种生活文化, 以及文化在人与人之间的归属。

形态篇

在房地产快速发展的先决条件下, 社会文化不停地作用于地产, 再加以时代的诱因, 地产文化呈现出更深层次、更多元化的文化形态。

形态一:舶来文化

建筑形态的同质化使许多人努力从建筑文化的单调中摆脱出来, 寻求一种国际化的个性居住方式。一些外来的建筑形态被“翻版”过来, 从居住功能到居住方式的变化, 又向我们传达了建筑形态本身所包含的人文精神。“LOFT”一词的原意是阁楼、仓库, 现指在欧洲一些城市中出现的新的建筑形态, 逐渐演化成一种时尚的居住与工作方式, 一种处理艺术与生活关系的新策。无论是它的社会意义还是它在建筑艺术领域中的地位都超出了LOFT的最初涵义, 也或多或少地影响到新一代人的意识形态。

形态二:感质地产

目前感质地产在北京和上海等地区相继兴起, 并且以其艺术性和尊贵性吸引了一大群富裕群体。感质地产是根据个性需求、身份标志、艺术美学等情感层面上的需求, 打造成集艺术与科技为一体、时尚与经典相结合的、可观感的高品质项目, 具有强烈的符号性。它的精神实质是以丰富的居住、文化内涵, 提升城市品位价值, 打造专属少数群体的真实的理想生活。

形态三:生态开发

作为住宅建设的一种趋势, 生态居住的环保理念已经得到推崇, 生态成为现代住宅的新指标。生态居住包括前期规划开发提倡生态理念, 开发过程中对周边环境的尊重与保护, 培养可持续发展的居住环境, 形成人与自然和谐共生的氛围, 提供有益于生活的健康居住空间。

形态四:观念地产

有人说, 吆喝的时代正在过去, 观念的时代正在到来。概念的雷同造成了市场的乏味, 地产商业与城市文化、当代艺术的相互影响、相互渗透, 催生出“观念地产”这一概念。北京地坛公园举办的“观念地产展”, 以鲜明的视觉和行为引发人们从当代艺术的角度重新看待城市, 看待地产, 将地产从“地产圈”中解放出来, 使人们更加关注地产与城市、地产与生活、地产与当代文化的关系。整个活动将地产与当代艺术“混合”起来, 既有艺术家的作品, 也有开发商和媒体的作品。

形态五:地产+文化

在地产商对文化不遗余力的追求上, 大致有这样的集中诉求:与电影、诗歌、美术、摄影等文艺行业的合作与联盟。地产商对于艺术的追求已经不仅仅局限于建筑设计, 而是通过与多种文艺形式的融合展现, 巧妙地将自身的品牌形象树立起来。对许多地产人来说, 地产并艺术着, 也是提升自我价值的一条途径。

形态六:地产+民间艺术

天津的杨柳青镇是一座极具文化魅力的中国古镇, 其建筑文化、民俗文化以及风土人情非常有代表性, 而杨柳青年画作为一项民间绘画艺术, 名扬海外。唐郡在唐郡小区里建造了唐郡艺术馆, 希望依托杨柳青镇, 更多地介绍民间艺术, 对于传承和发展民间艺术文化很有意义。

形态七:地产+文人名宅